Entreprises en cyber-danger: Take-Aways du Corporate Event #BlackAlps17
Protéger ses données et prendre conscience des méthodes toujours plus subtiles de manipulation sociale: voilà les enjeux actuels des entreprises en matière de cybersécurité. C’est ce qui est ressorti de l’événement dédié aux entreprises organisé par Innovaud, Y-PARC et Alp ICT au cours de la conférence spécialisée, BlackAlps, organisée pour la septième année consécutive à Yverdons-les-Bains les 15 et 16 novembre 2017.
Chefs d’entreprises, responsables de la sécurité informatique pour de grands groupes, recruteurs…c’est une salle comble et hétérogène qui cherche à comprendre les enjeux actuels des entreprises en termes de cybersécurité, ce 15 novembre. Le paysage global est connu de tous, mais rappelé en introduction par Mathieu Simonin, senior analyst auprès de MELANI, tour de contrôle de la cybersécurité au niveau fédéral: « toute une série d’attaques existe aujourd’hui, parfois très techniques ou sans grands moyens. Le cybercrime est désormais un métier à part entière, organisé par des groupes aux méthodes bien rodées.«
Deux enjeux ressortent des différentes présentations d’experts. En premier lieu, celui des données.
La sécurité à 100% est impossible
« Le plus grand enjeu d’une violation de sécurité ou d’une intrusion aujourd’hui concerne les données », explique Cristian Zamfir à la tête de Cyberhaven, entreprise qui développe une solution de protection des données en cas d’attaque. Une solution qui fait rêver, mais au procédé tenu au « secret interne ». Et qui ne peut être la panacée, selon Andy Yen, fondateur de la messagerie cryptée ProtonMail, selon qui « la sécurité à 100% est impossible », une donnée de départ que devraient intégrer selon lui toutes les entreprises. La taille de l’entreprise n’est pas une protection, le piratage d’Uber, révélé récemment, le prouve. Quelle solution pour les entreprises? « Nous avons décidé de crypter nos données avec une clé que nous ne possédons pas », explique pour sa part Andy Yen. L’une des autres pistes est d’accélérer la détection d’une attaque. « En 2016, il a fallu 146 jours en moyenne à une entreprise suisse pour se rendre compte qu’elle était victime d’un incident de sécurité », a rappelé Paul Such à la tête d’Hacknowledge qui développe des solutions dites de Managed Detection Response ou MDR. Cet outil permet aux entreprises de faire la différence plus rapidement entre un simple incident et une alerte, qui elle, mérite un traitement approfondi. « Une société moyenne développe 150 à 200 incidents par mois, seuls 3 à 5 sont de réelles alertes », assure le spécialiste qui estime que les technologies MDR représenteront 20% du marché de la cybersécurité d’ici trois ans. L’autre conseil serait évidemment d’identifier les données critiques et en donner les droits d’accès à certains utilisateurs de l’entreprise uniquement. Le risque de ternir sa réputation après une perte de données est majeur. A l’heure de la mise en œuvre du règlement européen en la matière, cette question ne peut plus être considérée comme secondaire, elle est aujourd’hui déterminante. A l’avenir, « les consommateurs choisiront les entreprises capables de protéger leurs données », avance Andy Yen.
Prévenir le social ingeneering
Autre enjeu: l’essor de la manipulation humaine. « Le risque social est aujourd’hui très important », estime Marc Barbezat, chief security officer de l’Etat de Vaud. « Qu’il s’agisse de suivre un lien, leur fournir une information: les criminels vont chercher à vous manipuler pour vous amener à réaliser au final une action contraire à vos intérêts », détaille Mathieu Simonin de MELANI. C’est le social ingeneering, qui consiste à agir sur une faille qui n’est pas programmable: celle de l’humain. « On assiste à beaucoup d’attaques envers les entreprises qui mobilisent au fond peu de recherches technologiques. Hacker un humain est beaucoup plus simple que de mettre des millions dans un maliciel« , ajoute l’expert. Les situations sont multiples. Une prétendue banque qui appelle une entreprise en lui signifiant qu’en raison ‘d’une mise à jour du système d’e-banking un paiement test doit être fait à l’étranger’, un mail piraté conduit à récupérer des factures de fournisseurs et les renvoyer légèrement modifiées pour récupérer les paiements effectués… « Il ne faut pas sous-estimer l’attaquant. Dans ce domaine, les pirates sont devenus très habiles », glisse Mathieu Simonin. Dans ce domaine, il est essentiel de comprendre –et le nombre permanent d’attaques en Suisse romande le prouve- que « cela n’arrive pas qu’aux autres ».
La première mesure consiste à former ses équipes à comprendre et identifier ces risques. Les procédures de transfert d’argent doivent également être très claires, mais c’est le cas pour tous les domaines de l’entreprise. « Nous mettons des guidelines strictes pour toutes nos équipes, en interne et en externe », explique Andy Yen, interrogé sur le sujet – qui précise aussi que le désormais traditionnel phishing reste l’un des procédés les plus massifs et les plus efficaces. Preuve que la culture de cybersécurité reste encore largement à faire connaître au-delà des cercles spécialisés.